noyb on saavuttanut jälleen yhden voiton Microsoft 365 Educationia vastaan käymässään oikeudenkäynnissä: Itävallan tietosuojaviranomainen (DSB) on päättänyt, että yritys asensi laittomasti evästeitä oppilaan laitteisiin ilman suostumusta. Microsoftin omien asiakirjojen mukaan nämä evästeet analysoivat käyttäjien käyttäytymistä, keräävät selaimen tietoja ja niitä käytetään mainontaan. Microsoftilla on nyt neljä viikkoa aikaa noudattaa sääntöjä ja lopettaa seurantaevästeiden käyttö.
- Itävallan DSB:n päätös (DE)
- PR aiemmasta DSB:n päätöksestä Microsoftia vastaan
- Alkuperäiset valitukset vuodelta 2024
Taustaa. Kesäkuussa 2024 noyb oli tehnyt Itävallan DSB:lle kaksi valitusta, jotka koskivat Microsoft 365 Education in schools -ohjelmaa. Ensimmäinen valitus ratkaistiin lokakuussa 2025. Tuolloin DSB katsoi, että Microsoft rikkoi yleisen tietosuoja-asetuksen 15 artiklan mukaista tiedonsaantioikeutta. Toinen valitus, joka on nyt ratkaistu, koski laittomien seurantaevästeiden käyttöä Microsoft 365 Educationissa.
Toinen noyb voitto Microsoftia vastaan. Tuoreimmassa päätöksessään DSB on jälleen todennut, että Microsoft toimi lainvastaisesti. Tarkemmin sanottuna yhtiö sijoitti seurantaevästeet Microsoft 365 Education -palvelua käyttävän alaikäisen laitteisiin. Microsoftin oman dokumentaation mukaan nämä evästeet analysoivat käyttäjän käyttäytymistä, keräävät selaimen tietoja ja niitä käytetään mainontaan. DSB on lisäksi määrännyt Microsoftin lopettamaan kantelijan jäljittämisen neljän viikon kuluessa. Sekä koulu että Itävallan opetusministeriö väittivät, etteivät ne olleet tietoisia tällaisista seurantaevästeistä ennen Noybin valituksia.
Felix Mikolasch, noybin tietosuojalakimies: "Alaikäisten jäljittäminen ei selvästikään ole yksityisyyden suojaa edistävää. Vaikuttaa siltä, että Microsoft ei juurikaan välitä yksityisyydestä, ellei kyse ole sen markkinointi- ja PR-lausunnoista."
Microsoftin Irlanti ohitettu. Oikeudenkäynnin aikana Microsoft yritti myös vedota siihen, että sen Irlannissa sijaitseva EU:n tytäryhtiö vastaa Microsoft 365 -tuotteista Euroopassa. DSB hylkäsi tämän väitteen ja katsoi, että itse asiassa Microsoft US tekee asiaankuuluvat päätökset. Suuret yhdysvaltalaiset teknologiayritykset väittävät säännöllisesti, että ne kuuluvat Irlannin lainkäyttövaltaan, koska Irlannin tietosuojakomission tiedetään tuskin panevan täytäntöön EU:n lainsäädäntöä.
Todennäköisesti kauaskantoisia seurauksia Microsoft 365:lle. Miljoonat opiskelijat ja opettajat ympäri Eurooppaa käyttävät Microsoft 365 Education -palvelua. Miljoonat muut ihmiset käyttävät Microsoft 365 -standardia yrityksissä ja viranomaisissa Euroopassa. Käyttäjien jäljittäminen ilman suostumusta ei ole EU:n lainsäädännön mukaista, mikä on ongelma kaikille Microsoft 365:tä käyttäville organisaatioille. Saksan tietosuojaviranomaiset ovat jo katsoneet, että Microsoft 365 ei täytä GDPR:n vaatimuksia.
Max Schrems: "EU:ssa toimivien yritysten ja viranomaisten tulisi käyttää vaatimustenmukaisia ohjelmistoja. Microsoft on jälleen kerran jättänyt noudattamatta lakia."
